¿Están seguros nuestros datos en la nube?_21062011_Jordi

Anuncio
¿Están seguros nuestros datos en la nube?
El auge de las aplicaciones de la llamada "nube" propicia una acumulación de datos
muy tentadora para los ciberdelincuentes
La "nube" está de moda. Es decir, subir todos nuestros datos a los servidores de las
empresas y utilizarlos desde allí, o tenerlos siempre sincronizados con nuestros
dispositivos, es la tendencia más importante del último año. Los usuarios, por
comodidad, acumulamos toda nuestra privacidad en servidores seguros de terceras
empresas y así podemos acceder a ellos cuando queramos y desde cualquier lugar.
Hace unas semanas Apple presentó su sistema más innovador en este campo, iCloud,
idóneo para moverse entre el iPhone, el iMac y el iPad sin renunciar a nada. Ahora
bien: ¿son lo bastante seguros estos servidores? La respuesta es sí, pero también
"hasta cierto punto" y "de momento". Los ciberdelincuentes ven en la "nube" un
jugoso botín y cada vez aprenden mejor a romper sus cerrojos. Sony, Google y
Dropbox, entre otros, ya han tenido experiencias negativas.
Decir Bruce Schneier en seguridad
informática es decir Cruyff en el fútbol. Son
dos personas provocadoras, que en ocasiones
hablan demasiado, pero que rara vez se
equivocan en sus predicciones porque saben
mejor que nadie de qué hablan. Schneier
escribió hace unos meses un post en su blog,
titulado "La era dorada para robar cualquier
cosa". En él advertía de que la estructura de
seguridad de los servidores que trabajan con
"cloud computing", la "nube", está subdimensionada si se tiene en cuenta el creciente
número de datos que albergan.
Una era dorada para la ciberdelincuencia
Schneier vaticinaba que la acumulación de datos provoca un efecto llamada en la
ciberdelincuencia, que aprende cada vez más rápido a saltarse los protocolos,
motivada por la gran ganancia económica que supone robar datos sensibles de cientos
de miles de usuarios. Los mismos, una vez en manos de los delincuentes, se podrían
vender en el mercado negro de datos, utilizar para hacer spam o bien para ciberestafas
masivas. Schneier termina por comparar la popularidad del sistema operativo
Windows con la "nube" y vaticina una larga y constante lucha similar a la de los
programas antivirus.
Lejos de ser un provocador, esta vez la realidad le ha
dado la razón a Schneier en cuestión de semanas. El
crecimiento desmesurado de este tipo de
almacenamientos ha puesto en el límite de la seguridad
a numerosos servicios de gran importancia, como el
sistema operativo para móviles Android, la plataforma de sincronización de archivos y
copias de seguridad Dropbox o la red social Facebook. En todos ellos se han
descubierto importantes agujeros de seguridad que exponían demasiado los datos
personales de sus usuarios.
Pero sin duda, el servicio que se ha visto más afectado y quizá el primer gran logro de
los delincuentes ha sido la plataforma de videojuegos Playstation Network de Sony.
Este servicio, que mantiene en los servidores de Sony los datos y videojuegos
comprados por el usuario, de modo que pueda jugar con ellos tanto en su Playstation
de salón, como PS3 o PSP, el modelo portátil, sin notar el cambio de dispositivo, ha
sido atacado en numerosas ocasiones durante el último mes, algo que ha puesto en la
cuerda floja sus protocolos de seguridad.
Playstation Network, la primera víctima
La Playstation Network comenzó a sufrir pérdidas masivas de datos de sus usuarios a
principios del mes de mayo, lo que provocó que Sony cerrara la plataforma durante
algo más de una semana para estudiar dónde estaba el problema, si era una
vulnerabilidad del sistema o bien ataques coordinados de delincuentes. Durante este
tiempo, los usuarios se vieron privados de las ventaja se sincronizar sus datos, e
incluso, muchos no accedieron a los videojuegos que habían comprado, por lo que
Sony acordó una compensación con un mes gratuito de uso del servicio.
Las conclusiones fueron que se había registrado un ataque, que aprovechaba diversas
vulnerabilidades del sistema de "nube", y se dijo que se había solucionado. Sin
embargo, a los pocos días, un nuevo ataque y otra sangría de datos puso en jaque a
Sony. Desde entonces, los ataques han sido intermitentes y, aunque la plataforma
vuelve a estar operativa, en Japón y en Asia, su principal mercado, todavía está
cerrada.
Android y las redes wifi
En otra magnitud se sitúan las vulnerabilidades del sistema operativo para móviles
Android, desarrollado por Google. Los delincuentes no han explotado los fallos de
Android, pero sí expertos en seguridad de la universidad alemana de Ulm. Estos se
ponen de manifiesto cuando el teléfono accede a la red de datos mediante una
conexión wifi. El problema es que, para dar de alta determinados servicios del sistema,
este pide una autenticación mediante claves al usuario y devuelve la respuesta en
forma de fichero de texto, que se almacena durante 14 días en la "nube" del sistema,
lo que comprende tanto los servidores como el teléfono.
En un acceso wifi, es posible una sincronización del
fichero interferida por terceros o bien que un
delincuente entre con facilidad al sistema del teléfono
y se apropie del fichero si la red no tiene los niveles de
seguridad adecuados, algo muy frecuente. Ante el
descubrimiento de este fallo, Google se comprometió
a aumentar los niveles de seguridad con que se guarda el fichero con las claves y a
reducir el tiempo de permanencia del mismo.
Otros casos
La plataforma de sincronización de archivos Dropbox también se ha cuestionado.
Aunque sus niveles de seguridad son muy elevados, un estudiante de medicina
comprobó que podía entrar a los archivos de su cuenta sin necesidad de escribir las
claves, ya que antes habían quedado grabadas en el navegador. En consecuencia, puso
una reclamación y el servicio tuvo que modificar sus condiciones de garantía, en las
cuales incluía literalmente que era imposible acceder sin escribir las claves.
La empresa de seguridad Symatec comprobó a mediados de mayo que algunas
aplicaciones de Facebook habían filtrado datos confidenciales de unos 100.000
usuarios, entre ellos fichas con claves de acceso, a algunos de los anunciantes que
utilizan la plataforma para promocionarse. La filtración se debió a fallos de seguridad y
se ha recomendado el cambio de claves de acceso a la red.
Descargar